باج‌افزاری بر ضد پادشاه عربستان

شرکت پالو آلتو نتورکز از شناسایی نسخه‌ای از باج‌افزار RanRan در کشور عربستان سعودی خبر داده‌ که در آن از قربانی خواسته می‌شود در ازای آنچه که این باج‌افزار آن را بازگردانی فایل‌ها به حالت قبل می‌خواند اقدامی در نکوهش یکی از مقامات این کشور انجام دهد.

باج‌افزار RanRan به فایل‌های رمزگذاری شده پسوند zXz را الصاق می‌کند.

شرکت پالو آلتو نتورکز ‌جزییاتی در مورد نحوه انتشار این باج‌افزار منتشر نکرده است.

در نخستین اجرا، باج‌افزار وجود یک Mutex با عنوان Services1.0 را بر روی دستگاه مورد بررسی قرار می‌دهد. RanRan وجود این Mutex را نشانه‌ای از آلوده بودن دستگاه قلمداد کرده و اجرای خود را متوقف می‌کند.

RanRan فایل مخرب خود را با عنوان services.exe در مسیر :C کپی کرده و به منظور ماندگار کردن خود بر روی دستگاه، کلیدی با مشخصات زیر را در محضرخانه سیستم عامل ایجاد می‌کند:

• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
• Device REG_SZ Send To OneNote 2010,winspool,nul:
• UserSelectedDefault REG_DWORD 0x1
• Load REG_SZ C:\services.exe

پیش از آغاز رمزگذاری، باج‌افزار، سرویس‌ها و پروسه‌های زیر را متوقف می‌کند:

• MSSQLSERVER
• SQLWriter
• MSSQL$CONTOSO1
• SQLServerAgent
• MSSQL$SQLEXPRESS
• Microsoft Exchange Information Store
• OracleASMService+ASM
• OracleCSService
• OracleServiceORCL
• OracleOraDb10g_home1TNSListener
• usermanager
• outlook
• exchange
• sql

هدف از انجام این کار فراهم شدن امکان رمزگذاری فایل‌های مورد استفاده این سرویس‌ها و پروسه‌هاست.

همچنین RanRan اجرای هر پنجره‌ای که عنوان آن “Task Manager” باشد متوقف می‌کند.

از نکات قابل توجه در خصوص این باج‌افزار، استفاده از کلیدهای رمزگذاری متفاوت بسته به اندازه هر فایل می‌باشد.

اما جالب‌تر از همه اینکه در اطلاعیه باج‌گیری RanRan از قربانی خواسته می‌شود تا زیردامنه‌ای با عنوان مورد نظر مهاجمان بر روی سایت سازمانی که قربانی در آن مشغول به کار است ایجاد شود. در ادامه قربانی باید فایلی با عنوان ransomware.txt و با محتوای زیر را در آن زیردامنه ذخیره کند:

Hacked!

“Your email address”

که منظور از خط دوم، درج نشانی ایمیل قربانی است تا مهاجمان از طریق آن ایمیل با قربانی ارتباط برقرار کنند. این در حالی است که تقریباً در همه حملات باج‌افزاری، این قربانی است که باید با مهاجم ارتباط برقرار کند!

برخی منابع اعلام کرده‌اند که عنوان زیردامنه، عبارتی بر ضد سلمان بن عبدالعزیز آل‌سعود، پادشاه فعلی عربستان سعودی است.

همچنین از قربانی خواسته می‌شود که با اشاره به ransomware.txt، هک شدن سایت را به صورت عمومی اعلام کند.

به گزارش شرکت مهندسی شبکه گستر، علیرغم نوآوری‌ها و خلاقیت‌های نویسنده یا نویسندگان این نسخه از RanRan، وجود اشکالاتی در فرآیند رمزگذاری آن، امکان رمزگشایی فایل‌ها را بدون نیاز به کلید فراهم ساخته است. برای این منظور می‌توان ابزارهایی رمزگشایی که در لینک زیر قابل دسترس هستند منتشر شده‌ است:

https://github.com/pan-unit42/public_tools/tree/master/ranran_decryption

شرکت پالو آلتو نتورکز آلودگی به این باج‌افزار را تنها در عربستان سعودی گزارش کرده است. هر چند که بر اساس اخبار منتشر شده توسط برخی منابع دیگر، در اوایل سال میلادی جاری نیز نسخه‌ای از RanRan در فیلیپین مشاهده شده بود.

پالو آلتو نتورکز تاکید کرده که ارتباطی میان باج‌افزار RanRan و بدافزار معروف Shamoon که پیش‌تر مراکز متعددی را در عربستان سعودی هدف قرار داده بود نیافته است. برخی کارشناسان، Shamoon را محصول هکرهای ایرانی می‌دانند.

مشروح گزارش پالو آلتو نتورکز در اینجا قابل دریافت و مطالعه است.